On this page

应急响应方法论&框架

On this page

1. 行业规范
2. 行业实践
- 2.1. AWS
- 2.2. Microsoft

1. 行业规范

NIST Computer Security Incident Handling Guide

应急响应是一组用于在发生安全事件时准备、检测、控制、响应和学习的过程管理。
事件响应（与大多数网络防御一样）由三大支柱支撑：技术、人员和流程。
安全事件发生后，业务的主要目标是尽快以安全的方式恢复正常。
我们可能必须回答以下问题：
- 什么被控制/泄露/破坏了？
- 如何恢复正常？
- 这是怎么发生的？
- 我们如何防止这种情况再次发生？
这就是为什么用来衡量应急响应团队绩效的关键指标是MTTD和MTTR的原因：
- MTTD平均检测时间：发现事件正在发生所需的时间。
- MTTR平均响应时间：修复威胁所需的时间。
整体流程可以分为：
- Preparation：人员，过程，技术三个维度展开
- Detection and Analysis：监控告警、主动发现（威胁狩猎）和分析处置
- Containment, Eradication, and Recovery：止损并恢复任何受影响的资源、数据和/或流程
- Post-Incident Activity
  - 经验教训
  - 过程分析：处置时间、主观/客观评价、
  - 证据保留

ISO/IEC 27035

目标与范围
- 与网络安全相关的攻击不断演变，也对实体造成更多损害。因此，每个组织都需要有一个一致的事件响应计划 (IRP) 和事件管理技能，以根据风险评估的结果减轻弱点、保持业务运行、最大限度地减少损失和声誉。通过这种方式，它有助于减少发生的事件，同时要记住并非所有事件都可以预防。
- ISO (27035:2016) 国际标准为大中型组织提供信息安全事件管理发布的指南、技术和最佳实践。除了小型组织可以遵循基本程序集和推荐的国际事件管理实践外，还可以提供外部各方来处理信息安全事件。
信息安全事件链见下图：
常见安全响应团队的类型如下：
整体流程可以分为：
- Plan & Prepare：为事件管理政策计划和准备适当的计划，并考虑将事件管理、漏洞管理计划纳入此阶段，包括整体流程、政策、操作工具、模板、角色和职责。
- Identify. Detect, &Report：该过程检测、收集与安全事件相关的信息并报告安全事件，信息安全事件和事件流程图如下：
- Assessment & Decision：进行评估以确定安全事件是否处于可能性或误报状态，或已结束。ISIRT 进行评估以确认 PoC 的评估结果，以了解事件的真假；应根据结果进行二次评估。
- Responses：有响应都是根据决策阶段的输出做出的，可以在实时基础上或在取证分析操作的帮助下在确定的时间范围内立即做出响应。
- Lessons learnt：包括信息安全取证分析、确定经验教训、改进信息安全控制实施和信息安全风险评估和管理审查结果、信息安全事件管理计划和其他改进。

2. 行业实践

2.1. AWS

整体流程为：

准备阶段
- 人员：尽管自动化程度有所提高，但安全组织内的分析师和响应者仍有许多工作要做。同质化的团队会产生盲点，因此必须建立一个多元化的团队，在复杂多变的情况下提供不同的思想体系、文化视角以及工作和生活经验。包括：确定角色和职责、响应机制等
- 技术：使用AWS提供的相关工具/接口访问事件所涉及的环境和资源
模拟阶段
- 安全事件响应模拟 (SIRS) ，可提供结构化机会在现实场景中练习事件响应计划和程序
持续迭代
- 创建Runbook：提前计划并定义自己的安全响应程序，参考这里
- 自动化能力：AWS提供了一整套API和工具来实现自动化应急响应，不同的工具对比如下：例如，AWS Lambda 提供更快的速度并且需要更少的技术技能。AWS Fargate 提供更大的灵活性，并且需要更少的维护和技术技能。

2.2. Microsoft

核心衡量指标为：平均确认时间 (MTTA) 和 平均补救时间 (MTTR)
响应计划，见下表

活动	描述	益处
桌面练习	对可预见的影响业务的网络事件进行周期性的桌面练习，迫使您的组织的管理层考虑基于风险的困难决策。	牢固确立并说明网络安全是一个业务问题。发展肌肉记忆，并在整个组织中发现困难的决策和决策权问题。
确定攻击前决策和决策者	作为对桌面练习的补充，确定基于风险的决策、决策标准以及必须由谁来制定和执行这些决策。例如：谁/何时/是否向执法部门寻求帮助？谁/何时/如果招募事件响应者？谁/何时/是否支付赎金？谁/何时/如果通知外部审计师？谁/何时/如果通知隐私监管机构？谁/何时/如果通知证券监管机构？谁/何时/如果通知董事会或审计委员会？谁有权关闭关键任务工作负载？	定义初始响应参数和联系人，以简化对事件的响应。
维护特权	一般来说，建议可以享有特权，但事实是可以发现的。培训关键事件负责人在特权下交流建议、事实和意见，以便保留特权并降低风险。	考虑到包括电子邮件、协作平台、聊天、文档、工件在内的众多通信渠道，维护特权可能是一个混乱的过程。例如，您可以使用Microsoft Teams Rooms。事件人员和支持外部组织的一致方法可以帮助减少任何潜在的法律风险。
内幕交易注意事项	考虑向管理层发出通知，以减少证券违规风险。	董事会和外部审计师往往会意识到，您可以采取缓解措施来降低动荡时期出现可疑证券交易的风险。
事件角色和责任手册	建立基本的角色和职责，使各种流程保持专注并向前推进。当您的响应团队处于远程位置时，可能需要额外考虑时区并适当地移交给调查人员您可能必须在可能涉及的其他团队之间进行沟通，例如供应商团队。	技术事件负责人——始终在事件中，综合输入和发现并计划下一步行动。沟通联络——消除技术事件负责人与管理层沟通的负担，这样他们就可以继续参与事件而不会失去焦点。这应该包括管理高管信息和互动以及监管机构等其他第三方。事件记录器——消除了事件响应者记录调查结果、决策和行动的负担，并从头到尾准确地记录了事件。远期规划师– 与任务关键型业务流程所有者合作，制定业务连续性活动和准备工作，以考虑持续 24、48、72、96 小时或更长时间的信息系统损害。公共关系——如果发生可能引起公众关注的事件，并与 Forward Planner 一起，考虑并起草解决可能结果的公共沟通方法。
隐私事件响应手册	为了满足日益严格的隐私法规，在 SecOps 和隐私办公室之间制定一个共同拥有的剧本，以便快速评估由安全事件引起的有合理概率的潜在隐私问题。	评估安全事件对隐私的潜在影响是很困难的，因为大多数安全事件都发生在技术含量高的 SOC 中，必须迅速将其提交给确定监管风险的隐私办公室，通常需要 72 小时通知。
渗透测试	针对关键业务系统、关键基础设施和备份进行时间点模拟攻击，以识别安全态势中的弱点。这通常由一个外部专家团队执行，专注于绕过预防性控制并发现关键漏洞。	鉴于最近发生的人为勒索软件事件，应针对范围扩大的基础设施进行渗透测试，特别是攻击和控制关键任务系统和数据备份的能力。
红队/蓝队/紫队/绿队	对关键业务系统、关键基础设施、备份进行连续或定期模拟攻击，以识别安全态势中的弱点。这通常由内部攻击团队（红队）进行，他们专注于测试检测控制和团队（蓝队）的有效性。例如，您可以使用Microsoft 365 Defender for Office 365 的攻击模拟培训和Microsoft 365 Defender for Endpoint 的攻击教程和模拟。	红色、蓝色和紫色团队攻击模拟，如果做得好，有多种用途：1、允许整个 IT 组织的工程师模拟对他们自己的基础设施学科的攻击。2、表面可见性和检测方面的差距。3、全面提高安全工程技能；作为一个更连续和扩展的过程。绿色团队实施 IT 或安全配置的更改。
业务连续性规划	对于任务关键型业务流程，设计和测试连续性流程，使最小的可行业务在信息系统受损期间能够正常运行。例如，使用Azure 备份和恢复计划在攻击期间保护您的关键业务系统，以确保您的业务运营快速恢复。	强调没有针对 IT 系统受损或缺失的连续性解决方法这一事实。与简单的备份和恢复相比，可以强调复杂的数字弹性的需求和资金。
灾难恢复	对于支持关键业务流程的信息系统，您应该设计和测试热/冷和热/温备份和恢复方案，包括分段时间。	进行裸机构建的组织经常发现无法复制或不符合服务水平目标的活动。多次在不受支持的硬件上运行的关键任务系统无法恢复到现代硬件。备份的还原通常未经测试并且会遇到问题。备份可能会进一步脱机，因此暂存时间未计入恢复目标。
带外通信	准备好在电子邮件和协作服务受损、文档库被勒索以及人员电话号码不可用时如何沟通。	尽管这是一项困难的工作，但要确定存储电话号码、拓扑、构建文档和 IT 恢复过程的资源的离线和不可变副本如何存储在离线设备和位置上并大规模分发。
硬化、卫生和生命周期管理	根据 Internet 安全中心 (CIS) 的 20 大安全控制措施，强化您的基础架构并执行彻底的卫生活动。	为应对最近发生的人为勒索软件事件，Microsoft发布了具体指南，以加强和保护网络攻击杀伤链的每个阶段，无论是利用 Microsoft 的能力还是其他提供商的能力。特别值得注意的是：1、在系统被勒索的情况下创建和维护不可变的备份副本。您可能还会考虑如何保留不可变的日志文件，这会使对手掩盖其踪迹的能力变得复杂。2、与用于灾难恢复的不受支持的硬件相关的风险。
事件响应计划	在事件开始时，决定：1、重要的组织参数；2、重要的组织参数；3、紧迫感（例如 24x7 和营业时间）；4、工作人员在此期间的可持续性。	有一种趋势是在一开始就将所有可用资源投入到事件中，并希望快速解决。一旦您认识到或预计事件会持续很长时间，请与您的员工和供应商采取不同的姿态，让他们能够适应更长时间。
事件响应者	彼此建立明确的期望。报告正在进行的活动的流行格式包括：1、我们做了什么（结果如何）？2、我们在做什么（以及将产生什么结果以及何时产生）？我们下一步计划做什么（什么时候可以期待结果）？	事件响应者采用不同的技术和方法，包括死箱分析、大数据分析以及产生增量结果的能力。从明确的期望开始将有助于清晰的沟通。

- 相关流程：响应->恢复->运营
- 响应手册：如，[钓鱼响应手册](https://docs.microsoft.com/en-us/security/compass/incident-response-playbook-phishing)

Microsoft 365 Defender 的事件响应
- 检测
- 工作流程
- 安全操作
- 自动化响应
  - 自动调查和响应功能通过以下方式帮助您的安全运营团队：
    - 确定威胁是否需要采取行动。
    - 采取（或建议）任何必要的补救措施。
    - 确定是否以及应该进行哪些其他调查。
    - 根据需要对其他警报重复该过程。
  - 警报会创建一个事件，该事件可以启动自动调查。自动调查会为每条证据做出裁决。判决可以是：
    - 恶意的
    - 可疑的
    - 没有发现威胁
  - 识别恶意或可疑实体的补救措施。补救措施的示例包括：
    - 将文件发送到隔离区
    - 停止进程
    - 隔离设备
    - 阻止 URL
    - 其他行为
- 有关详细信息，请参阅 Microsoft 365 Defender 中的补救措施
3. 总结
应急响应有五个关键事项：
- 记录在发生事故时要采取的考虑、决定和行动的过程
  - 应急响应计划:详细说明组织（或者，通常是组织的特定部分，例如 SOC）为响应网络事件所做的工作的总体文档
  - 技术操作手册:技术操作手册提供了有关一线团队（例如 SOC 或 CSIRT）在发生特定事件场景时应如何响应的详细指导（如：https://github.com/certsocietegenerale/IRM/tree/master/EN）
  - 知识库:提供了有关支持对一个或多个事件场景的响应的具体操作的详细指导
- 熟练和经验丰富的人员来领导、协调和执行对事件的响应
  - 不仅是必要的技能和经验，还包括更广泛的网络安全、IT 和业务等相关能力，可以参考：
- 通过日志进行事件调查，并帮助了解发生了什么、何时以及如何发生的
  - 在确定要存储哪些日志时，还应考虑任何适用的法规。例如，GDPR 对“数据最小化”的要求意味着安全日志不应包含个人数据
  - 日志保留期的选择应再次与可能的现实威胁和调查要求保持一致;日志的存储时间应该是它们通常对团队有用的时间。(例如，这可能是基于可能的攻击者的平均停留时间。FireEye 的 2021 M-Trends报告确定了非勒索软件调查的中位停留时间为 45 天，其中 25% 的非勒索软件调查的停留时间为 200 多天)
- 执行遏制和根除行动以减轻事件风险的技术
  - 基于主机/网络/身份
- 事件响应团队的协调技术，用于沟通和协作、委派和跟踪响应行动以及管理交付
  - 沟通: 内部和与外部合作伙伴的同步（例如，视频和电话呼叫和会议）和异步（例如，文本聊天）通信。
  - 协作: 在内部和与外部合作伙伴的工作上进行协作。
  - 任务跟踪: 记录响应事件所需的任务，跟踪截止日期、工作量、状态、受让人和后续步骤。这可以通过简单的电子表格或 Jira 等专用任务跟踪系统来实现。
  - 报告: 捕获每个事件的关键统计数据（例如，使用常见的模式，如VERIS），并输出这些数据以启用管理报告。
4. 参考

Categories

Tags

应急响应方法论&框架

1. 行业规范

2. 行业实践

2.1. AWS

2.2. Microsoft

3. 总结

4. 参考

Tags